IEC 61508 通用功能安全生命周期，在离散制造的落地方法（产品 × 合规 · 深度编译）

要点先看：IEC 61508 是各行业的“通用型”功能安全基础标准，提供从概念到退役的全生命周期与 SIL（安全完整性等级）方法学；离散制造（机床、产线、机器人、输送、驱动等）通常用它来做安全元件/子系统的产品合规，而在整机/线体层面优先采用**IEC 62061（机械领域的功能安全）或 ISO 13849-1（PL 等级）**来完成项目级合规与验证。
assets.iec.ch

一、为什么是“61508 +（62061 / 13849）”的双轨落地？

IEC 61508 定义了功能安全生命周期（常见 16 步）与 SIL 的确定/实现/验证框架，覆盖硬件（随机失效）、软件与系统性失效的控制，是传感器/逻辑/驱动/执行元件做产品级认证的基础。
exida


IEC 62061:2021 明确写明：它是在 61508 框架下面向机械的部门标准，用来设计、集成与验证机器的安全相关控制系统（SCS）。可直接集成 61508 认证的元件/子系统。
webstore.iec.ch


ISO 13849-1 以 PL（a–e）度量，更多用于“低复杂度/硬件为主”的安全功能；与 62061 可等效选用，行业有PL↔SIL 对照做导航，但并非一一对应。
Eaton


监管语境（欧盟）：新《机械产品条例》2023/1230 自 2027-01-20 起适用，机械放行需满足条例及其协调标准（如 62061、13849）；在过渡期内仍参考现行《机械指令》。
ABB Group

osha.europa.eu

二、把“通用生命周期”翻译成离散制造的项目路线

下表把 IEC 61508 的总体思想，压实到单机/线体的实施步骤；用 62061/13849 完成机级验证，用 61508 约束元件合规与数据闭环。

定义边界 & 角色：界定 EUC/系统边界、接口、工况（循环节拍、停机后风险）；确立**功能安全管理（FSM）**与能力要求（胜任力、独立性）。
61508.org

危险源识别与风险评估：采用定性/定量方法确定需要的安全功能与目标 SIL/PL（“风险可容许”思路）。
assets.iec.ch

编制 SRS（安全需求规格）：为每个安全功能写触发条件、反应时间、失效状态、诊断覆盖、测试间隔、环境与电磁约束等。
assets.iec.ch

体系选型与架构约束：

机级采用 IEC 62061（SIL）或 ISO 13849（PL） 之一；

元件层优先选择有 IEC 61508 认证、带安全手册的数据合规件（安全 PLC、变频器/伺服带 STO/SS1/SLS、光幕、急停、联锁）。
webstore.iec.ch

exida


满足 硬件结构约束与诊断（如 SFF/HFT 或 2H 路线概念）。
exida

定量目标与计算（高/连续需求工况多见于机械）：用 PFH_d（每小时危险失效率）作为指标；SIL1–SIL3 对应 PFH_d 阈值10⁻⁵…10⁻⁸/h区间。低需求用 PFD_avg。
施耐德电气产品信息

exida


设计实现 & 证明：按照 61508/62061/13849 的技术与过程要求实施，并形成可追溯证据链（需求-设计-测试-验证-确认）。
assets.iec.ch

验证（V）与确认（Va）：对反应时间、停机类别、诊断覆盖、共因失效 β 值等进行测试/分析；对安全软件按 61508-3 的技术表（设计/编码/静态分析/独立评审）达成系统性能力（SC）。
exida

运行、证明测试（Proof Test）与变更管理：设定定期功能测试/校验与最小化停机策略；对变更做影响分析与再验证，保持合规连续性。
assets.iec.ch

三、产品侧：做一款“61508 合规”的安全产品要交付什么？

适用对象：安全 PLC/安全 I/O、带安全功能的驱动器（STO/SS1/SLS…）、编码器/光幕/联锁、压力/位置/速度安全传感器等。

功能安全管理（FSM）证据：基于 61508-1 第 6 章建立从立项到退役的管理体系（策划、配置/变更、验证独立性、供应链、问题关闭）。常见路线是参考 CASS 等合规方法进行声明/审核。
61508.org

系统性能力（SC）/随机能力：通过过程审计 + 技术手段表（61508-2/-3）实现 SC 1–3；同时用 FMEDA/现场数据给出随机硬件能力（PFH/PFD、SFF/HFT 或 2H）。
exida


安全手册（Safety Manual）：强制性交付件，写清**允许的使用条件/限制、环境与电磁边界、诊断与 proof test 程序、失效率与有用寿命、共因失效假设（β 值）**等，供机级设计与计算复用。
exida


第三方评估/证书：例如 TÜV/exida 的评估报告会列出PFH/PFD 结果、架构约束符合性、管理符合性等，方便集成方在 62061/13849 项目里引用。
Emerson

四、离散制造的“典型安全功能”与新技术要点

驱动安全（IEC 61800-5-2）：STO、SS1/SS2、SLS、SOS、SDI/SSR、SSM、SBC 等预定义安全子功能为机器人/机床/输送提供安全限能/限速/安全停机的“积木”。其硬件/软件完整性要求参照 61508-2/-3。
TÜV SÜD


急停（ISO 13850）与联锁（ISO 14119）：急停要求“随时可用、显著红头/黄底、人工复位”原则；联锁强调最小化规避/串改与合适的防护型式选择（新版 14119:2024 已发布）。
iso.org


SIL ↔ PL 的“导航而非换算”：可以用PFH_d/MTTF_d 区间做大致对应帮助选型，但请勿简单“换算”，应按所选主标准（62061 或 13849）完成一体化计算与验证。
ckm-content.se.com

五、工程师“落地包”：从立项到交付的最小闭环

(1) 立项

选主线标准（62061 或 13849）；明确安全功能清单与目标 SIL/PL；指定FSM 负责人与独立性。
webstore.iec.ch

(2) 选件

选择带 61508 证书与安全手册的元件（安全 PLC、带 STO/SS1 的驱动、光幕/联锁/急停等）；优先可提供 PFH/PFD、β、诊断覆盖 数据的产品。
exida


(3) 计算

连续/高需求多见：采用 PFH_d 汇总（传感→逻辑→执行链路的 PFH 相加），满足目标 SIL 区间；低需求用 PFD_avg。
施耐德电气产品信息


(4) 架构

满足硬件结构约束（如 SFF/HFT 或 Route 2H 数据质量路线）；落实共因失效（β）、诊断与测试。
exida

(5) 证明

按 61508-3/62061 做软件与系统验证/确认；形成可追溯文档（SRS、验证计划、测试记录、FMEA/FMEDA、FSA/FAT/SAT）。
assets.iec.ch

(6) 运行与维护

制定proof test 周期与功能测试规程（引用元件安全手册）；实施变更管理与再评估。
exida

六、常见坑位（以及如何不踩）

把 PL ↔ SIL 当“换算表”：二者方法学和边界不同，只可导航，不可直接替代验证。
Eaton

忽略系统性能力（SC）：只算 PFH/PFD、却没按 61508-2/-3 的过程与技术措施达标，证据链不完整。
exida

未设定 proof test/维护窗口：PFH/PFD 目标与测试间隔绑定，缺少测试计划会漂移出合规区间。
exida

驱动安全功能误用：把 STO 当“减速”而非“切扭矩”，或未按 SS1/SS2/SLS 定义调参；请按 61800-5-2 的功能定义与适用场景实施。
TÜV SÜD

结语（编辑部可直接引用的落脚点）

产品合规：按 IEC 61508 做出有证书 + 安全手册的“可复用安全元件”。

项目合规：在整机/线体层面选择 IEC 62061 或 ISO 13849 完整收尾（风险评估→SRS→计算→验证→维护）。

新技术：驱动安全（STO/SS1/SLS）、可编程安全控制器与完整的安全手册数据，是离散制造提效、提质与合规的三件套。
TÜV SÜD

主要参考（权威/官方/一线机构）

IEC 官方《61508 & Functional Safety》公开资料（生命周期与合规框架）。
assets.iec.ch

exida：61508 安全生命周期 16 步、PFH/PFD 概念、系统性能力/架构约束。


IEC 62061（机械领域，基于 61508 的部门标准）与其接受 61508 元件的说明。
webstore.iec.ch


EU 监管动态：**2023/1230《机械产品条例》**适用时间与过渡期。
ABB Group


61800-5-2（驱动安全功能 STO/SS1/SLS…）与技术解读。
TÜV SÜD


安全手册要求与典型内容（61508 部分 2/3 附录）。
exida

推荐阅读：

ISO 3691-4：安全核心条款 + 现场核查清单（含 ISO 13849 关系）

标准与合规｜EU《机械法规》(EU) 2023/1230 与《网络弹性法案》(EU) 2024/2847 如何同 IEC 62443 打通（离散制造版）

包装/印刷/机床的典型子系统 PL / SIL 对照与常见错误（基于官方信息）

安全部件选型｜安全继电器 vs 安全 PLC vs 安全驱动（何时用哪种？）

IEC 61508 通用功能安全生命周期，在离散制造的落地方法

AGV/AMR 安全｜ISO 3691-4 核心条款 + 现场检查表